سیسکو حفره هایی را در نرم افزار Nexus 3000، 3500، 7000، 9000 سوئیچ و Firepower 4100 Series فایروال نسل بعدی و Firepower 9300 را در اختیار دارد.
سیسکو 25 توصیه امنیتی را ارائه می دهد که 26 آسیب پذیری را در سوئیچ سیسکو NX-OS و نرم افزار فایروال Firepower FXOS توصیف می کند.
در حالی که 26 هشدارها آسیب پذیری هایی را توصیف می کنند که امتیاز امنیتی امنیتی "High" دارند، بیشترین -23 - بر روی نرم افزار NX-OS سیسکو تاثیر می گذارند، و سه باقی مانده شامل هر دو بسته های نرم افزاری می شود.
این آسیب پذیری ها شامل تعدادی از مشکلات است که اجازه می دهد یک مهاجم دسترسی غیرمجاز، امتیاز بیشتری دریافت کند، دستورات دلخواه خود را اجرا کند، فرار از پوسته محدود، عبور از بررسی سیستم بررسی تصویر و یا عدم دسترسی سرویس (DoS)، سیسکو گفت.
این کمپانی رفع نرم افزار را برای همه آسیب پذیری ها منتشر کرده است و هیچ کدام از این مشکلات بر روی نرم افزار سیسکو IOS یا سیسکو IOS XE تاثیر نمی گذارد.
اطلاعاتی در مورد اینکه نرم افزارهای سیسکو FXOS و نرمافزار سیسکو NX-OS منتشر شده آسیب پذیر هستند و چه در مورد آن باید در بخش نرم افزار ثابت مشاوره موجود باشد.
آسیب پذیری پیاده سازی LDAP
بدترین آسیب پذیری ها - با امتیاز سیستم امتیازدهی رایج 8.6 از 10 - در پیاده سازی پروتکل قابلیت دسترسی آسان دایرکتوری (LDAP) در نرم افزار سیسکو FXOS و سیسکو NX-OS یافت می شود. این مسئله می تواند اجازه ی یک حمله غیرقابل اعتبار، از یک دستگاه آسیب دیده برای بارگیری مجدد را داشته باشد که منجر به انکار سرویس (DoS) می شود، سیسکو اعلام کرد.
"آسیب پذیری ها ناشی از تجزیه نامناسب بسته های LDAP توسط یک دستگاه آسیب دیده است. یک مهاجم می تواند از این آسیب پذیری ها با ارسال یک بسته LDAP که با استفاده از قوانین رمزگذاری اولیه (BER) به یک دستگاه آسیب دیده ساخته شده است، استفاده کند. "بسته LDAP باید یک آدرس IP منبع از یک سرور LDAP پیکربندی شده در دستگاه هدف را داشته باشد."
این آسیب پذیری بر روی تعدادی از محصولات Firepower 4100 Series Next Generation Firewall و Firepower 9300 Security Appliance به سری چند لایه سری MDS 9000، سری Nexus 3000، 3500، 7000، سری 9000 و UCS 6200، سری 6300 Fabric Interconnects تاثیر می گذارد.
آسیب پذیری تجزیه و تحلیل Tetration Analysis
یکی دیگر از آسیب پذیری های بسیار رتبه بندی شده در نمایه تجزیه و تحلیل تطبیقی سیسکو برای سوئیچ های سری Nexus 9000 در حالت NX-OS مستقل است که می تواند اجازه داده شود یک مهاجم محلی تأیید شده، کد ریشه دلخواه را اجرا کند. یک مهاجم می تواند با جایگزینی فایل های عامل معتبر با کد مخرب از این آسیب پذیری بهره برداری کند. سیسکو در مشاوره گفت که یک سوءاستفاده موفق میتواند موجب اجرای کد شده توسط مهاجم شود. آسیب پذیری به دلیل تنظیم مجوز نادرست است.
سیستم تجزیه و تحلیل سیسکو Tetration جمع آوری اطلاعات از سنسورهای سخت افزاری و نرم افزار و تجزیه و تحلیل اطلاعات با استفاده از تجزیه و تحلیل داده های بزرگ و یادگیری ماشین برای مدیران فناوری اطلاعات در درک عمیق تر از منابع مرکز داده خود. ایده Tetration شامل توانایی به طور چشمگیری بهبود نظارت امنیتی شرکت، ساده قابلیت اطمینان عملیاتی است.
یک آسیب پذیری چندگانه در نرم افزار Nexus می تواند اجازه دهد که مهاجمان امتیاز بیشتری در سوئیچ ها به دست آورند و دستورات نابغه را اجرا کنند.
سیسکو نوشت که اولین ضعف ناشی از بررسی مجوز نادرست حسابهای کاربری و شناسه گروه مربوط به آنها است. "مهاجم می تواند با استفاده از یک خطای منطقی که امکان استفاده از دستورات اختصاصی بالاتر را دارد از آنچه که لزوما اختصاص داده شده است، می تواند از این آسیب پذیری بهره برداری کند. یک سوءاستفاده موفق میتواند به مهاجم اجازه دهد دستورات را با امتیازات بالا بر روی پوسته پایه لینوکس دستگاه آسیب دیده اجرا کند. "
این مشکل بر روی خطوط کارت Nexus 3000، 3500، 7000، 7700، 9000 و Series Switches و سری Nexus 9500 R و ماژولهای Fabric تاثیر می گذارد.
دومین قرار گرفتن در معرض ناشی از عدم اجرای مجازات مجوز است. مهاجم می تواند از طریق شناسایی به دستگاه هدف و اجرای دستورات که می تواند به امتیازات بالا منجر شود، از این آسیب پذیری بهره برداری می کند. یک سوءاستفاده موفق میتواند به مهاجم اجازه دهد تغییرات پیکربندی را به سیستم به عنوان مدیر انجام دهد.
این مشکل روی خطوط کارت Nexus 3000، 3500، 3600، 9000 و Nexus 9500 R تاثیر می گذارد.
هشدار برای تامین ابزار تأمین POAP
سیسکو همچنین یک مشاوره اطلاعاتی برای سوئیچ های سیسکو Nexus با استفاده از قابلیت تنظیم خودکار یا استفاده از صفر لمسی به نام PowerOn Auto Provision (POAP) منتشر کرد.
سیسکو گفت که این ویژگی در ارتقاء استقرار اولیه و پیکربندی سوئیچ های Nexus کمک می کند و پس از اعمال تنظیمات، ویژگی POAP خود را غیر فعال می کند. اما سیسکو گفت که برای شبکه های مناسب که در آن POAP استفاده می شود، بسیار مهم است.
"برخی از مشتریان ممکن است بخواهند ویژگی POAP را غیرفعال کنند و از روشهای دیگر برای پیکربندی دستگاه Nexus خارج از جعبه استفاده کنند." سیسکو اعلام کرد.
برای این منظور، سیسکو نوشت که چندین دستور جدید را برای غیرفعال کردن POAP اضافه کرده است که در تنظیم مجدد تنظیمات پیش فرض کارخانه و حذف یک پیکربندی ادامه خواهد یافت. برای راهنمایی هایی در مورد حفاظت از محیط POAP و همچنین اطلاعات مربوط به غیرفعال کردن ویژگی، بخش های جزئیات و توصیه ها را ببینید.
این داستان، "سیسکو 26 تکه امنیتی برای سوئیچ ها، فایروال ها را باز می کند" در اصل توسط Network World منتشر شد.